kops etcd证书过期问题

最新推荐文章于 2025-03-27 21:40:05 发布
原创 最新推荐文章于 2025-03-27 21:40:05 发布
· 853 阅读 · 0 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #运维

本文介绍了etcd-manager在Kubernetes集群中的角色,它负责管理etcd集群的证书,尤其是如何处理证书过期的问题。当证书接近一年有效期时,如果不手动处理,apiserver将无法访问etcd。解决方案是删除etcd证书目录并重启etcd-manager容器以触发证书的自动重新签发。此外,还提供了检查证书过期时间的方法以及kops相关配置的关键参数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

etcd-manager 在云或裸机上管理 etcd 集群。它借鉴了 etcd-operator 的思想,但避免了依赖 kubernetes(本身依赖 etcd)的循环依赖。

当 etcd-manager 首次启动时,它会为每个主节点颁发证书。这些证书的硬编码期限为一年。如果证书过期,apiserver 将无法再访问本地 etcd 成员。

etcd-manager 首次在 Kops 1.12 中引入,该版本于 2019 年 5 月 15 日发布。这意味着,如果你升级了1.12以上的版本,并且不知道这个特性,那么在一年期满后将会遇到etcd终端的情况。

kops中etcd-manager相关配置

关键参数解释

#执行操作查看集群配置
kops get cluster -oyaml --full

  etcdClusters:
  - backups:
      backupStore: s3://your_bucket_name/your_cluster_name/backups/etcd/main
    cpuRequest: 200m
    enableEtcdTLS: true
    enableTLSAuth: true
    etcdMembers:
    - instanceGroup: master-me-south-1a
      name: a
    - instanceGroup: master-me-south-1b
      name: b
    - instanceGroup: master-me-south-1c
      name: c
    manager: {}
    memoryRequest: 100Mi
    name: main
    provider: Manager
    version: 3.2.24
  - backups:
      backupStore: s3://your_bucket_name/your_cluster_name/backups/etcd/events
    cpuRequest: 100m
    enableEtcdTLS: true
    enableTLSAuth: true
    etcdMembers:
    - instanceGroup: master-me-south-1a
      name: a
    - instanceGroup: master-me-south-1b
      name: b
    - instanceGroup: master-me-south-1c
      name: c
    manager: {}
    memoryRequest: 100Mi
    name: events
    provider: Manager
    version: 3.2.24

Provider: Manager        #此参数指定etcd集群使用etcd-manager。有两个可选参数Manager、Legacy。Legacy为传统模式,既不启动etcd-manager。

此解释在kops的官方文档暂时没有找到明确说明的地方,不过通过查看kops的go语言文档不难看出其意思。

etcd自签证书文件存放位置

etcd一年期自签证书查询过期时间

#宿主机路径
openssl x509 -in /etc/kubernetes/pki/kube-apiserver/etcd-client.crt -noout -dates

#etcd docker容器内路径
openssl x509 -in /rootfs/etc/kubernetes/pki/kube-apiserver/etcd-client.crt -noout -dates

其他一些证书路径:/mnt/master-vol-0*/pki/*/clients/*.crt

查看证书过期时间

for i in `ls /mnt/master-vol-*/pki/*/clients/*.crt`;do echo ====$i====;openssl x509 -in $i -noout -dates;done

etcd-manager自签证书过期解决办法

根据kops开源项目github上的issue中提供的方法的描述。

只要将etcd证书存放的pki目录删除,然后重启etcd的docker。就会自动重新签发证书。

其实这里的rm删除操作,是用mv将文件备份更为合适。

#SSH 到每个主实例并从每个卷挂载中删除 pki 目录:
sudo mv /mnt/master-vol-*/pki /mnt/master-vol-*/pki-bak

#重启两个 etcd-manager 容器。或者,您可以重启实例或终止自动缩放组中的实例
sudo docker restart $(sudo docker ps -q -f "label=io.kubernetes.container.name=etcd-manager")

参考文档

etcd-manager github:https://github.com/kopeio/etcd-manager

kops godoc:kops package - k8s.io/kops/pkg/apis/kops - pkg.go.dev

etcd-manager证书问题issue:https://github.com/kubernetes/kops/issues/8959

阿里云ACK的etcd证书过期手工升级操作
rendongxingzhe的博客
07-21 829
阿里云ack的etcd账户更新轮换
kubeadm证书/etcd证书过期处理
小啊宇的博客
10-14 2455
今天突然测试环境的Kubernetes 持续集成/持续发布出了问题了,然后上测试环境服务器排查,发现kubectl指令执行出现问题, Unable to connect to the server: x509: certificate has expired or is not yet valid 然后翻译了一下提示证书过期,网上查了下资料,说是:kubernetes的apiServer 与kubelet的访问授权证书是一年,官方的解释是:通过这种方式,让用户不断的升级版本。给出的解决方案有以下几种:
k8s踩坑(三)、kubeadm证书/etcd证书过期处理
热门推荐
ywq935的博客
03-08 2万+
故障现象 使用kubeadm部署的集群,在运行了一年之后今天,出现k8s api无法调取的现象,使用kubectl命令获取资源均返回如下报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 故障排查 查看apiserver.crt证书的签署日期和过期日期: root@9027:...
ETCD和api-server证书过期时间证书生成
风水道人
09-19 409
ETCD和api-server证书过期时间证书生成
k8s之etcd查询和备份
weixin_42562106的博客
05-14 524
获取etcd证书密钥路径 kubectl describe pods -n kube-system etcd-calico115 Command: etcd --cert-file=/etc/kubernetes/pki/etcd/server.crt 对应 --cert= --key-file=/etc/kubernetes/pki/etcd/server.key 对应 --key= --trusted-ca-fi..
kopsKubernetes运营(kops)-生产级K8s的安装,升级和管理
02-04
今天发布的kOps版本包含对etcd-manager的关键修复:创建后一年(或首先采用etcd-manager),群集将由于TLS证书过期而停止响应。 强烈建议将kOps升级到1.15.3、1.16.2、1.17.0-beta.2或1.18.0-alpha.3。 请参阅以获取...
Kubernetes运营(kops)-生产级K8s的安装,升级和管理-Golang开发
05-26
2020-05-06 etcd-manager证书过期今天发布的咨询kops版本包含一个关键的f kops-Kubernetes操作可以启动并运行生产级Kubernetes集群的最简单方法。 2020-05-06 etcd-manager证书到期今天发布的咨询性kops版本包含对...
k8s的ca以及相关证书签发流程
李姓门徒
04-08 1716
对于网站类的应用,网站管理员需要向权威证书签发机构(CA)申请证书,这通常需要花费一定的费用,也有非营利的证书签发机构,比如”Let's Encrypt“可以为用户免费签发证书。但对于Kubernetes这类应用来讲,它通常部署在企业内部,其管理面组件不需要暴露到公网,所以就不需要向外部的证书签发机构申请证书,系统管理员就可以自已签发证书供内部使用。 本文通过介绍部分内部组件的ca证书签发流程,引导相关的证书签发过程。
如何部署高可用 k8s 集群?
03-10
- **证书过期**:`kubeadm certs check-expiration` 查看有效期 --- ### **六、生产建议** 1. 使用基础设施即代码(IaC)工具(如 Terraform)管理节点生命周期 2. 定期执行混沌测试(如使用 Chaos Mesh)验证高...
第67章:集群升级与版本迁移最佳实践
最新发布
上海交通大学电院毕业,现互联网大厂开发工程师
03-27 71
升级编排脚本开发自定义脚本协调升级流程处理特定环境的需求/bin/bash# 示例升级编排脚本# 1. 备份etcd# 2. 升级控制平面dosleep 60done# 3. 升级工作节点dosleep 30done# 4. 升级集群组件自定义控制器开发Kubernetes控制器管理升级实现自动化和自修复能力监控集成将升级过程与监控系统集成自动检测和响应问题报告和通知生成升级报告和状态更新集成通知系统。
etcd-manager
05-04
etcd经理 etcd-manager在云或裸机上管理etcd集群。 它借鉴了etcd-operator的思想,但避免了依赖kubernetes(本身依赖etcd)的循环依赖。 etcd-manager为初始集群成员资格执行最少数量的类似八卦的对等点发现,然后尽快“转至etcd”。 etcd-manager还会监视对等成员身份的更改,以管理所需集群仲裁的正确成员数。 到etcd的实际集群成员身份更改将继续通过筏进行。 与etcd-manager的通信是通过etcd-manager-ctl二进制文件进行的。 在可以找到建立集群以进行本地开发的过程的演练。 备份文件 etcd-manager领导者除了在集群修改操作之前自动触发备份外,还定期将etcd快照备份到备份存储中。 通常不支持的集群更改可以通过etcd备份和还原安全地完成。 备份存储的格式在是计划中性的。 代码概述 etcd
etcdmanager:跨平台的GUI和ETCD客户端
05-25
ETCD经理 这是一个免费的跨平台ETCD v3客户端和GUI。 该项目的目标是双重的: 为台式机(Windows,Linux,Mac),移动设备(iOS和Android)和Web提供高效,现代的GUI。 涵盖所有ETCD功能。 您可以使用etcdctl做任何事情,也应该可以使用此工具。 这个程序对于简单和高级用户都应该是有用的。 请注意,当前不支持ETCD V2 API! 目前,我们仅支持V3 。 特征 现在可用(v1.2) 当前,实现了以下功能: 密钥管理: 管理(浏览,创建,编辑,删除)密钥。 使用TTL创建密钥 关键浏览器具有多个视图:树或带分页的列表。 密钥列表实时更新:任何密钥的值更改时刷新列表。 管理修订:列出任何密钥的修订并恢复为以前的任何值。 设置和配置: 能够使用多个配置配置文件,使您可以通过专用设置管理任意数量的ETCD集群。 导入/导出
etcd-manager-1.2.0-win64.exe
08-12
etcd-manager-1.2.0-win64 etcd数据库管理客户端
解决kubernetes集群证书过期问题
jiaohuizhuang6019的博客
11-08 548
解决kubernetes集群证书过期问题
Docker-11:Docekr安装Etcd
孤山之王
08-21 1503
Docker方式安装etcd
使用 etcd-manager 客户端 连接etcd
weixin_47976194的博客
08-17 4679
使用 etcd-manager 客户端 连接etcd
K8S集群证书过期etcd和apiserver已不能正常使用下的恢复方案
weixin_30273175的博客
05-28 1344
在这种比较极端的情况下,要小心翼翼的规划和操作,才不会让集群彻底死翘翘。首先,几个ca根证书是10年期,应该还没有过期。我们可以基于这几个根证书,来重新生成一套可用的各组件认证证书。 前期,先制定以下方案步骤,能否实现,待验证。 一,制作证书的基本文件。 Ca-csr.json(因为根证书是OK的,所以这个文件,可是列在这里,不会用上) { "CN": "kubernetes",...
k8s证书过期导致的“血案”
10-09 1515
一、问题描述 环境:Rancher 2.4.7(单机)、Kubernetes 1.18.6(kubeadm安装),Rancher使用import方式管理k8s集群; k8s节点描述:master(1)、node(6)、etcd(1) 问题:k8s集群证书默认有效期为一年,过期后重新生成证书,但Rancher管理证书未变更导致Rancher不能发布应用、升级应用等; 二、"入坑" 1、k8s证书过期导致的问题:Rancher 登陆后发现集群不可用,排查发现证书过期 [root@k.
Terraform模块简化Kops集群资源集成
总结以上内容,"terraform-aws-kops-metadata"是一个可以被集成到Terraform工作流中的模块,它利用Terraform的基础设施即代码(IaC)能力,对通过Kops创建的Kubernetes集群在AWS上的资源进行查找和集成。通过该模块...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值